Un Soc, Security Operation Center, è un’organizzazione centralizzata e dedicata che impiega persone, processi e tecnologie per monitorare e migliorare continuamente la posizione di sicurezza di un’organizzazione, prevenendo, rilevando, analizzando e rispondendo a incidenti di cybersecurity.
L’obiettivo della attività complessiva del Soc è quindi il rilevamento degli incidenti di sicurezza attraverso il monitoraggio e l’analisi dell’attività e dei dati a disposizione.
In questo momento storico di trasformazione digitale e con l’aumento esponenziale dell’attività online e dello smart working in seguito alla situazione emergenziale, diventa ancora più centrale l’attivtà di prevenzione delle minacce alla sicurezza degli utenti aziendali, che da remoto sono ancora di più sottoposti ad attacchi di social engineering.
Soc in azione: tecnologia e processi
Le tecnologie abilitanti di un Soc sono sostanzialmente cinque.
Security analytics platform: rilevazione e comprensione delle logiche di attacco; Creazione e aggiornamento di database di informazioni relative alle tipologie di attacco a disposizione degli utenti.
Cyber threat intelligence feeds and database/threat hunting process: rilevazione e analisi delle attività interne / esterne aziendali e confronto con le logiche e alle tipologie di attacco rilevate dalla piattaforma di Security Analytics.
Vulnerability scanners and penetration testing tools verifiche preventive e continuative sullo stato di sicurezza dell’azienda.
SIEM: Raccolta centralizzata dei log e degli eventi generati da applicazioni e sistemi in rete (include machine learning, deep learning e AI).
SOAR: Security orchestration, automation and response.
I processi tipici della gestione di un incidente rilevato da un Soc si svolgono lungo sei fasi.
Identificazione e presa in carico della segnalazione
Quando una minaccia è identificata, il team si attiva e si predispone alla gestione, identificando la comunicazione anomala di Command & Control e facendo analisi dei dati e profiling degli ambienti aziendali coinvolti.
Triage
L’evento viene valutato in base alle informazioni raccolte, alla verifica delle fonti, alla correlazione con eventi simili in database e ai potenziali impatti sugli asset dell’azienda coinvolta.
Notifica al Cliente e presa in carico dell’evento
Il Soc prende in carico l’evento, chiudendo il ticket con il cliente se l’evento è facilmente gestito o non rilevante, o notificando l’inizio della fase di contenimento.
Contenimento
Il Soc intraprende le azioni di risoluzione del problema, mantenendo il contatto costante con i referenti del cliente e selezionando le modalità di risposta più adatte all’evento in gestione.
Chiusura e comunicazione esiti
Il Soc correla e descrive le azioni anche in ottica di digital forensics o segnalazione formale a stakeholder istituzionali o aziendali, predispone il report formale contenente la tipologia di attacco, le azioni intraprese e gli eventuali asset impattati.
Follow Up & Remediation
Gli specialisti del Soc condividono esperienza, azioni intraprese e necessarie azioni di remediation in apposite Knowledge Sharing Session con gli interlocutori delle aziende clienti oggetto degli attacchi gestiti.
I numeri del Soc di Axitea
Un esempio di quanto lavori un Soc italiano in questo momento ce lo fornisce Axitea.
La funzione del Soc di Axitea, situato presso la sede della società, in via Gallarate a Milano, è di monitorare, rilevare, investigare e rispondere alle minacce informatiche 24 ore su 24. Il team dedicato e multidisciplinare ha il compito di monitorare e proteggere le risorse, gli asset, gli oggetti e i valori digitali delle aziende: la proprietà intellettuale, il know how, i dati, la reputazione, i dispositivi IoT, le credenziali business sensitive.
Gli specialisti di Axitea fungono da punto centrale di collaborazione per monitorare, valutare e difendere i clienti dagli attacchi informatici e i tentativi di frode, furto di informazioni e richieste di riscatto.
Quanto pesano queste attività? Parlano i numeri forniti da Axitea.
Nel Soc di secondo livello vengono analizzati 800 milioni di eventi cyber a settimana e vengono bloccati 400 attacchi virus a settimana.
Sono oltre 15.000, invece, gli eventi di natura fisica gestiti ogni settimana nel Soc di primo livello.
Perché Axitea ha puntato su un Soc integrato? Come ci spiega Maurizio Tondi, director security strategy di Axitea “Il Soc integrato implementa un approccio olistico alla gestione del rischio ed opera nei confronti dei clienti come strumento di protezione continuativa, H24 per 365 giorni all’anno, attraverso il monitoraggio e la gestione integrata degli eventi che si manifestano nei sistemi e nelle procedure di protezione fisica delle aziende ed in quelli che appartengono al sistema informativo aziendale. Il servizio proattivo consente di effettuare l’analisi e la correlazione in tempo reale dei log più rilevanti generati dai dispositivi fisici, industriali, cyber e dai software critici per la sicurezza integrata del cliente. Questo consente la rilevazione tempestiva degli attacchi mirati e violazioni dei dati e la gestione efficace degli eventuali incidenti”.
